Двухфакторная аутентификация для Zimbra
Я искал Двухфакторную аутентификацию, которая работает хорошо с выпуском открытого исходного кода Zimbra.
Один из продуктов, я смотрел на - eToken ПЕРЕДАЧА (http://www.safenet-inc.com/multi-factor-authentication/authenticators/one-time-password-otp/etoken-pass/), требует программного обеспечения, работающего на Windows, и у меня нет серверов Windows внутренними, так не будет работать на меня. Кроме того, некоторые пользователи, которые используют Outlook, не смогут аутентифицировать использование этого метода.
Больше прямой опции было: http://www.safenet-inc.com/multi-factor-authentication/authenticators/pki-usb-authentication/. Это - в основном сертификат SSL во флеш-карте. По-видимому, это работает с браузерами, а также почтовыми клиентами и не требует никакого дополнительного программного обеспечения бэкенда для аутентификации. У кого-либо есть опыт при интеграции аналогичных устройств с Zimbra?
Другая проблема - то, что мне только нужен этот автор с двумя факторами для ограниченного количества пользователей на сервере. Это даже возможно?
Если вы используете etoken (pki-usb-authentication), вы, вероятно, выполните аутентификацию сертификата клиента в браузере. Для этого потребуется перенастроить сервер Apache для запроса сертификата клиента. И вот в чем проблема. Вы не можете определить, какой пользователь собирается пройти аутентификацию, до того как пользователь / браузер предоставил клиентский сертификат. Таким образом, пользователи без токена / сертификата клиента не смогут легко пройти аутентификацию. Тем не менее, в таком решении вы можете зарегистрировать eToken в одной группе пользователей, а программные сертификаты - в другую группу пользователей.
Вы можете использовать eToken PASS в качестве генератора одноразовых паролей. EToken PASS также может быть зачислен, поэтому вам не нужно доверять продавцу и дистрибьютору. Вам следует взглянуть на карты дисплея smartdisplayer. Их нельзя посеять, но они действительно классные, так как у них есть дисплей для электронных писем, и они помещаются в вашу сумочку. В качестве другого аппаратного устройства вы можете взглянуть на Yubikey, который снова может быть засеян.
Поздравляю. У вас нет сервера Windows ;-) Так почему бы не использовать серверную часть аутентификации на основе Linux, например privacyidea ? Которая поддерживает все упомянутые токены.
Что касается Zimbra, то здесь снова есть две возможности.
A. Вы настраиваете свой веб-сервер так, чтобы вам нужно было выполнить двухфакторную аутентификацию, прежде чем перейти к экрану входа в систему zimbra. Но в этом случае у вас могут возникнуть проблемы с приложениями на вашем смартфоне. (С чем вы также столкнетесь с сертификатами клиентов)
B. Аутентифицируйте пользователя с помощью 2fa прямо в zimbra. Похоже, что Zimbra по крайней мере поддерживает SAML . Вы можете настроить идею конфиденциальности в качестве поставщика удостоверений SAML и Zimbra в качестве поставщика услуг. Пользователь аутентифицируется в IdP с двумя факторами, а затем входит в ZImbra. Недавно я написал руководство по настройке идеи конфиденциальности в качестве SAML IdP .
Надеюсь, это поможет в качестве отправной точки.